Investigar os detalhes do Pacote
Situação: Traduzido automaticamente do Inglês

Informações:
Este item inclui conteúdo que ainda não foi traduzido para o idioma de sua preferência.

Até agora, você aprendeu como os analisadores de protocolo de rede (packet sniffers) interceptam as comunicações de rede. Também aprendeu como analisar as capturas de pacotes (p-caps) para obter insights sobre a atividade que ocorre em uma rede. AS Como analista de segurança, você usará suas habilidades de análise de pacotes para inspecionar os pacotes de rede e identificar atividades suspeitas durante as investigações.

Nesta leitura, você reexaminará os Cabeçalhos IPv4 e IPv6. Em seguida, explorará como usar o Wireshark para investigar os detalhes dos arquivos de captura de pacotes.

Protocolo de Internet (IPS)

Os pacotes formam a base da troca de dados em uma rede, o que significa que a detecção começa no nível do pacote. O Protocolo de Internet (IP) inclui um conjunto de padrões usados para roteamento e endereçamento de pacotes de dados à medida que eles trafegam entre dispositivos em uma rede. O IPS funciona como a base de todas as comunicações pela Internet.

O IPS garante que os pacotes cheguem a seus destinos. Há duas versões do IPS que você encontrará em uso atualmente: IPv4 e IPv6. Ambas as versões usam diferentes Cabeçalhos para estruturar as informações dos pacotes.

IPv4

O IPv4 é a versão mais comumente usada do IP. Há treze campos no Cabeçalho:

  • Versão: Esse campo indica a versão do IPS. Para um Cabeçalho IPv4, é usado o IPv4.

  • Comprimento do Cabeçalho da Internet (IHL): Esse campo especifica o comprimento do Cabeçalho IPv4, incluindo quaisquer "Options".

  • Tipo de serviço (ToS): Esse campo fornece informações sobre a prioridade de entrega do pacote.

  • Comprimento total (Total Comprimento): Esse campo especifica o comprimento total de todo o pacote IP, incluindo o Cabeçalho e os dados.

  • Identificação: Os pacotes que são muito grandes para serem enviados são fragmentados em partes menores. Esse campo especifica um identificador exclusivo para os fragmentos de um pacote IPS original, de modo que eles possam ser remontados quando chegarem ao destino.

  • Sinalizadores: Esse campo fornece informações sobre a fragmentação do pacote, inclusive se o pacote original foi fragmentado e se há mais fragmentos em trânsito.

  • Fragment Offset (deslocamento de fragmentação): Esse campo é usado para identificar a sequência correta de fragmentações.

  • Time to Live (TTL): esse campo limita por quanto tempo um pacote pode circular em uma rede, evitando que os pacotes sejam encaminhados indefinidamente pelos roteadores.

  • Protocolo: Esse campo especifica o protocolo usado para a parte de dados do pacote.

  • Checksum do Cabeçalho: Esse campo especifica um valor de soma de verificação que é usado para verificar erros no Cabeçalho.

  • Source Address (Endereço de origem): Esse campo especifica o endereço de origem do remetente.

  • Destination Address (Endereço de destino): Esse campo especifica o endereço de destino do receptor.

  • Options (Opções): Esse campo é opcional e pode ser usado para aplicar opções de segurança a um pacote.

Um cabeçalho IPv4 com seus 13 campos.

IPv6

A adoção do IPv6 tem aumentado devido ao seu grande espaço de endereços. Há oito campos no Cabeçalho:

  • Versão: Esse campo indica a versão do IPS. Para um Cabeçalho IPv6, é usado o IPv6.

  • Classe de tráfego: Esse campo é semelhante ao campo Tipo de serviço do IPv4. O campo "Traffic class" fornece informações sobre a prioridade ou a classe do pacote para ajudar na entrega do pacote.

  • Rótulo do fluxo: Esse campo identifica os pacotes de um fluxo. Um fluxo é a sequência de pacotes enviados de uma fonte específica.

  • Comprimento do payload: Esse campo especifica o Comprimento da parte de dados do pacote.

  • Cabeçalho seguinte: Esse campo indica o tipo de cabeçalho que segue o Cabeçalho IPv6, como o TCP.

  • Hop Limit": esse campo é semelhante ao campo "Time to Live (TTL)" do IPv4. O Hop Limit limita o tempo que um pacote pode percorrer em uma rede antes de ser descartado.

  • Endereço de origem: Esse campo especifica o endereço de origem do remetente.

  • Destination Address(Endereço de destino): Esse campo especifica o endereço de destino do receptor.

Um cabeçalho IPv6 com seus oito campos.

Os campos de Cabeçalho contêm informações valiosas para investigações e ferramentas como o Wireshark ajudam a exibir esses campos em um formato legível por humanos.

Wireshark

O Wireshark é um analisador de protocolo de rede de código aberto. Ele usa uma interface gráfica do usuário (GUI), o que facilita a visualização das comunicações de rede para fins de análise de pacotes. O Wireshark tem muitos recursos a serem explorados que estão além do escopo deste curso. Você se concentrará em como usar a filtragem básica para isolar os pacotes de rede, de modo que possa encontrar o que precisa.

Interface do Wireshark.

Filtros de exibição

Os filtros de exibição do Wireshark permitem que você aplique filtros aos arquivos de captura de pacotes. Isso é útil quando você está inspecionando capturas de pacotes com grandes volumes de informações. Os filtros de exibição o ajudarão a encontrar informações específicas que sejam mais relevantes para a sua investigação. Você pode filtrar pacotes com base em informações como protocolos, endereços IP, portas e praticamente qualquer outra propriedade encontrada em um pacote. Aqui, você se concentrará na sintaxe de filtragem de exibição e na filtragem de protocolos, endereços IP e portas.

Operadores de comparação

Você pode usar diferentes operadores de comparação para localizar campos e valores específicos do Cabeçalho. Os operadores de comparação podem ser expressos usando abreviações ou símbolos. Por exemplo, este filtro que usa o símbolo de igualdade == neste filtro ip.src == 8.8.8.8 é idêntico ao que usa a abreviação eq neste filtro ip.src eq 8.8.8.8.

Esta tabela resume os diferentes tipos de operadores de comparação que podem ser usados para filtragem de exibição.

Tipo de operador

Símbolo

Abreviação

Igual

==

eq

Não igual

!=

ne

Maior que

>

gt

Menor que

<

lt

Maior ou igual a

>=

ge

Menor ou igual a

<=

le

Dica profissional: você pode combinar operadores de comparação com operadores lógicos booleanos, como and e or, para criar filtros de exibição complexos. Os parênteses também podem ser usados para agrupar expressões e priorizar termos de pesquisa.

Operador de contenção

O operador contains é usado para filtrar pacotes que contenham uma correspondência exata de uma String de texto. Aqui está um exemplo de um filtro que exibe todos os fluxos HTTP que correspondem à palavra-chave "moved".

Uma captura de pacote do Wireshark usando o operador contains para encontrar fluxos HTTP com a string "moved"

Operador MATCH

O operador matches é usado para filtrar pacotes com base na expressão regular (RegEx) especificada. Expressão regular é uma sequência de caracteres que forma um padrão. Você explorará mais sobre expressões regulares posteriormente neste programa.

Barra de ferramentas de Filtragem

Você pode aplicar filtros a uma captura de pacote usando a barra de ferramentas de filtros do Wireshark. Neste exemplo, dns é o filtro aplicado, o que significa que o Wireshark exibirá apenas os pacotes que contenham o protocolo DNS.

Uma barra de ferramentas de filtro do Wireshark com um filtro DNS aplicado.

Dica profissional: o Wireshark usa cores diferentes para representar os protocolos. Você pode personalizar as cores e criar seus próprios filtros.

Filtragem de protocolos

A filtragem de protocolos é uma das maneiras mais simples de usar os filtros de exibição. Você pode simplesmente digitar o nome do protocolo a ser filtrado. Por exemplo, para filtrar os pacotes DNS, basta digitar dns na barra de ferramentas de filtragem. Aqui está uma lista de alguns protocolos que podem ser filtrados:

  • dNS

  • http

  • fTP

  • sSH

  • aRP

  • telnet

  • iCMP

Filtragem de um endereço IP

Você pode usar filtros de exibição para localizar pacotes com um endereço IP específico.

Por exemplo, se quiser filtrar os pacotes que contenham um endereço IP específico, use ip.addr, seguido de um espaço, do operador de comparação igual == e do endereço IP. Aqui está um exemplo de um filtro de exibição que filtra o endereço IP 172.21.224.2:

ip.addr == 172.21.224.2

Para filtrar os pacotes originados de um endereço IP de origem específico, você pode usar o filtro ip.src. Aqui está um exemplo que procura o endereço IP de origem 10.10.10.10:

ip.src == 10.10.10.10

Para filtrar os pacotes entregues a um endereço IP de destino específico, você pode usar o filtro ip.dst. Aqui está um exemplo que procura o endereço IP de destino 4.4.4.4:

ip.dst == 4.4.4.4

Filtragem de um endereço MAC

Também é possível filtrar pacotes de acordo com o endereço MAC (Media Access Control). AS, um endereço MAC é um identificador alfanumérico único que é atribuído a cada dispositivo físico em uma rede.

Veja um exemplo:

eth.addr == 00:70:f4:23:18:c4

Filtragem de portas

A Filtragem de portas é usada para filtrar pacotes com base nos números das portas. Isso é útil quando você deseja isolar tipos específicos de Tráfego. O tráfego de DNS usa a porta TCP ou UDP 53, portanto, isso listará apenas o tráfego relacionado a consultas e respostas de DNS.

Por exemplo, se você quiser filtrar por uma porta UDP:

udp.port == 53

Da mesma forma, você também pode filtrar por portas TCP:

tcp.port == 25

Seguidor de fluxos

O Wireshark oferece um recurso que permite filtrar pacotes específicos de um protocolo e visualizar fluxos. Um fluxo ou conversa é a troca de dados entre dispositivos usando um protocolo. O Wireshark remonta os dados que foram transferidos no fluxo de uma forma que seja simples de ler.

A caixa de diálogo Seguir fluxo do Wireshark exibe o conteúdo do fluxo de uma conversa HTTP.

Seguir um fluxo de protocolo é útil quando se está tentando entender os detalhes de uma conversa. Por exemplo, você pode examinar os detalhes de uma conversa HTTP para visualizar o conteúdo das mensagens de solicitação e resposta trocadas.

Principais lições

Nesta leitura, você explorou os filtros de exibição básicos com o Wireshark. A análise de pacotes é uma habilidade essencial que você continuará a desenvolver com o tempo em sua jornada de segurança cibernética. Coloque suas habilidades em prática na próxima atividade e explore a investigação dos detalhes de um arquivo de captura de pacote usando o Wireshark!

Recursos